Segurança DNS & domínios .com AD, Quais são os perigos para o meu domínio AD se alguém agacha meu domínio público .com

Question

Segurança DNS & domínios .com AD, Quais são os perigos para o meu domínio AD se alguém agacha meu domínio público .com

#1 resposta do (10 votos)

7

Estou ciente de que as melhores práticas atualmente determinam que o nome de domínio do meu Windows AD seja um subdomínio de um namespace comprado e globalmente exclusivo (por exemplo, ad.namespace.com). Isso é ótimo e elegante.

A minha pergunta é, quais são as potenciais vulnerabilidades de segurança introduzidas se o nosso registo de domínio público expirar e alguém agachou o nome de domínio debaixo de nós (os maus agora possuem namespace.com)? Poderiam aproveitar algum DNS voodoo para comprometer nossa rede interna em ad.namespace.com? Um usuário final desinformado poderia ser levado a fazer algo que não deveria ou vazar informações confidenciais de domínio privado visitando um site malicioso que ocupa nosso endereço web ocupado? Existe alguma vulnerabilidade de autenticação do AD remota resultante de pessoas mal intencionadas que possuem nosso nome de domínio no nível raiz?

Provavelmente vou ganhar a ira por dizer isso, mas parece mais seguro que o domínio do AD privado ocupe um espaço de nomes separado que seja inacessível da Internet, como o que quer que seja. Eu sei que isso é odiado. Alguém por favor, coloque minha mente à vontade. Enviei alguns dias tentando pesquisar essa questão, mas não consigo encontrar ninguém compartilhando minha preocupação sobre o possível comprometimento de um nome de domínio no nível raiz. Talvez eu esteja apenas sendo nuubi. Agradecemos antecipadamente.

active-directory domain-name-system subdomain domain-name

por elCrash 26.02.2016 / 20:14

1 resposta

Tags active-directory domain-name-system subdomain domain-name

Erro ao promover o servidor 2012 R2 para o controlador de domínio no domínio 2003 Iniciando uma instância do EC2 com uma função do IAM usando o Ansible

score 10 · Accepted Answer

As potenciais vulnerabilidades de segurança de alguém que ocupa o domínio no qual o AD está hospedado ... não são diferentes das vulnerabilidades de pessoas que ocupam um domínio sem o AD.

O usuário conseguirá phishing de seus usuários, com certificados SSL perfeitamente válidos e o domínio correto. Usando um espaço de nomes que é 'inacessível' - e intencionalmente coloquei isso entre aspas - só abre os nomes para colisões de espaço e todos os outros problemas que são a espinha dorsal de porque a melhor prática é usar um subdomínio em um domínio que você possui.

O DNS é apenas uma parte da solução do AD e está envolvido apenas na segurança do domínio, na medida em que é usado para pesquisar os locais dos serviços de rede. Além disso, você tem toda a bondade do Kerberos / LDAP ditando a capacidade de autenticação.

Para responder às suas perguntas específicas:

What are the potential security vulnerabilities introduced if our public domain registration lapsed and someone squatted the domain name out from under us (bad guys now own namespace.com)?

Phishing, injeções de malware, etc. Nada disso tem muito a ver com a segurança do AD, embora sejam apenas as "coisas ruins que acontecem quando alguém agacha seu domínio"

Could they leverage some DNS voodoo to compromise our internal network back at ad.namespace.com?

Não

Could an uninformed end-user be tricked into doing something they shouldn't or leaking sensitive private domain info by visiting a malicious website occupying our squatted web address?

Claro, veja o risco de phishing acima. Isso não é específico da AD, apenas você perdeu seu domínio.

Is there any remote AD authentication vulnerability resulting from bad guys owning our root level domain name

Nenhuma autenticação do AD é tratada pelo Kerberos e não pelo DNS

Agora, algumas notas adicionais:

1) Com a ICANN, permitir que TLDs arbitrários sejam criados se você tiver dinheiro suficiente, tudo é um jogo justo, e o namespace que você achou que estava seguro de colisão no ano passado poderia muito bem ser um novo TLD este ano.

2) Para realmente perder seu domínio, você teria que deixá-lo expirar e, em seguida, não notar para os 30 (60/90 /? Eu esqueci o número exato nos dias de hoje. E poderia ser dependente de registrador, mas pelo menos 2 semanas ) período de carência.

Então, por que as pessoas não estão falando sobre isso? Porque não é um problema que você precisa se preocupar. Não há vulnerabilidades em sua infraestrutura interna do AD, e seu risco é o mesmo de quando você executa o AD em um domínio diferente e deixa seu domínio expirar. Defina seu domínio para renovação automática e pronto.